[영남이공대학교 사이버보안과] BlueHat 동아리 - 이호선 선생님 Q&A

영남대학교 정보전산원을 맡고계신 이호선 선생님께서

저희 영남이공대학교 사이버보안과

BlueHat(블루햇) 동아리의 멘토가 되어주셨습니다.

2014년 9월 24일에 특강 날짜를 잡아주셨지만

온라인 게시는 여기가 처음입니다.

하지만 제가 받아적으면서 못적은것도 있기때문에 (...) 으로 표시하겠습니다.

<이호선 선생님 특강 녹음 part. 1>

[이호선 선생님]보안업계는 T자형입니다. 가로는 다양성이고 세로는 전문화이죠. 우리는 다양하게 배우고 몇가지는 깊게 배워야 살아남을 수 있습니다.

첫 직장은 안랩이였고 모의해킹이 주직업이였습니다.

두번째 직장은 과학기술, 항공기술과 같은 연구소의 기술 컨설팅 및 침해대응을 했고

마지막 직장은 대학교에서 근무중입니다.

[학생의 질문] 코딩(coding)을 하면 해킹(hacking)도 잘하나요?

[이호선 선생님] 꼭 그렇지는 않습니다. 대신 각 언어별로 알아두는 것이 좋습니다.

코드의 어떤 점을 밝혀낼 수 있는 능력을 키우는게 중요합니다. ( ...) 웹해킹이나 자바스크립트(Javascript)같은 것이 특성 있는게 클라이언트를 PC로 가져오기 때문에 공유가 가능합니다.

[이호선 선생님] (해킹을 잘하려면) 무엇을 먼저 공부해야할까요?

[학생] 리눅스요.

[이호선 선생님] 리눅스는 깊게 파들어가기보단 리눅스 서버로 장난칠 정도만 하면 됩니다. 그리고 후에 DB를 배우며 mysql 등을 장난칠 정도? 하지만 개발자 수준은 아니라는거..

[학생의 질문] 비싼 장비(약 2천만원)가 들어오는데 그걸로 어떻게 공부해야할까요?

[이호선 선생님] 저는 장비를 잘 다루지는 못하구요. 공격만 해봤습니다. 장비를 어떻게 다루는 건 모르겠습니다. 보안 장비의 근본적인 목적은 사건을 찾아내고 막는 것이겠죠? 이벤트(event) 연구만 잘 하시면 됩니다. 방화벽을 예로 들어볼까요? 무엇을 막고 무엇을 허용하는 것만 아시면 됩니다. 단, 패턴을 보고 이게 무엇인가 하는 분석도 필요합니다.

저한테 올 때는 해결방법을 구체적으로 질문하시는게 중요하고

(해킹) 필드에 나가서 하드(hard) 트레이닝(training)을 받는게 중요합니다.

[학생의 질문] 모의해킹에 대해 관심이 많은데 뭘 해야할까요?

[이호선 선생님] 그림을 먼저 그립니다. 만약 청와대다. 청와대에 기본적으로 방화벽이 있으니 네트워크는 포기합니다. 그럼 나머지는 사회공학, 웹, 무선이 있습니다. 웹은 어떤 기법을 이용할 건지 그림이 쫙- 대신 해킹 기법을 공부하셔야겠죠. 그리고 스텝업(Step-up) 게임은 쉽지않아요. 홈페이지에는 웹 실행 권한 자체가 따로 있어요. nobody 권한이라고 웹에 있는데 그걸로 root 권한을 얻으려 explorer code를 검색해보고 해당 version에 맞추면 되는거죠. 이렇게 큰 그림을 그려야해요. 우선은 웹 해킹부터 파고 들어가야해요. 웹을 해킹한 후는 나중이죠. 웹쉘(webshell)을 한다던지 2차 전이를 한다던지...

[학생의 질문] Air-crack으로 WP2PA를 어떻게 해킹할 수 있을까요?

[이호선 선생님] 아니요. 그건 Brute-force (사전어택도 가능) 밖에 없어요. 무슨 랜카드가 그런걸 지원했었죠.

여성분들도 필드(field)에 나가보면 꽤 많아요. 우리나라 여성 해커 1위가 제 대학원 동기인데 국정원을 갔어요 (웃음) 원래 옛날에는 언더 활동하는 사람들이 학벌 차이 때문에 고생을 많이 하게 됬어요. 회사가게 되면 전문대, 3년졸업, 석사자격증에 폐이했기 때문에 학업에 대해 신경을 많이 써야할거에요. 규정상 회사들도 지불 규정이 다르기 때문에 어쩔 수 없어요. 결국 어떻게든 다 자격증 따시더라구요. 그리고 해킹은 밤에 하는게 좋아요. 해킹에 재미를 느끼지 못하면 필드 생활 못할거에요. 담배도 많이 폈습니다.

[학생의 질문] 국제 자격증이 도움이 될까요?

[이호선 선생님] CCNA은 도움이 되는데 희소성이 떨어졌습니다. 거의 다 보유하고 있기 때문에 실력 인정에는 큰 도움이 안됩니다. 정보처리기사와 비슷한데 쓸데없지만 필요한 자격증입니다. 꼭 따셔야합니다. SIS는 2급 따두면 좋을거 같네요. 자격증 체계에 대해 잘은 모르겠는데 보안자격증 있으면 남자들은 군대를 보안쪽으로 가면 됩니다. 그 경험이 엄청난 경력이 되요.

김정삼 교수님이 온라인상으로도 많이 관계를 가졌으면 한다고 해요.

근데 질문을 많이 해야지...

[학생의 질문] 앱을 해킹했을 때 연동된 DB도 가능한가요?

[이호선 선생님] 글쎄요. 앱 DB 가능은 하겠죠. 앱을 어떻게 해킹할건가요?

[학생] 일단은 휴대폰부터 해킹을 하면 되겠죠.

[이호선 선생님] 지금 최신 동향은 앱을 해킹하는 것보다는 나쁜 앱을 만들어서 유포하는 식으로 가요. 요즘 기술해봐야 그쪽밖에 없으니까. 하나의 해킹 기술을 만들기 위해서는 되게 힘들어요. 남의 기술을 이용하다가 제가 나름대로 발견한거는 07년도 옥션 해킹할려고 하다가 방법이 없어서 만든게 있는데 홈페이지 글쓰기에 Editor 기능(아마 html태그 기능을 말하는 듯)이 있을거에요. 그건 대부분 ActiveX 기반이고 PC에 설치가되요. Editor에서 업로드하는 파일 자체를 올리려고 하지만 필터링이 걸려져있죠. 그래서 shell 파일을 올리죠. 금지된 검색어를 어떻게 우회를 할까하는 고민도 좋아요. 엉뚱한 생각을 많이하라는게 시도를 해보고 실패도 해보는게 처음에는 다 써봐야해요. 이런 것이 다 삽질이지만 나중에 경험이 되는거죠.

[학생의 질문] 관제쪽은 어떻게 되나요?

[이호선 선생님] 관제. 관제.. 관제... 관제는 모의해킹과 똑같이 가장 빨리 실력을 키울 수 있는 분야에요. 모의해킹은 삽질로 경험을 키우고 관제는 남의 기술을 엿보면서 실력을 키울 수 있죠. 침해대역도 관제파트에서 많이 이루어지고 관제파트가 소화가 안되면 모의해킹팀으로 넘어오는거죠. 우선은 관제는 경험을 해보는게 좋기는한데 힘들죠. 야간 근무가 있어요. 만만하지 않아요. 4일? 서봤나.. 명절연휴기간인데 국민은행에서 해킹 첩보가 입수되서 그 기간동안 야간에 근무를 섰는데 아.. 힘들어요. 2년까지만 관제에서 활동을 하고 다른 파트로 넘어가는게 가장 좋구요. 기술력은 그 정도 그 상위버젼은 법, 규정, 정책, 컨설팅 분야가 있어요. 이 분야에 전문가가 되고싶다면 무조건 끝까지 가야되는게 당연하죠. 제가 볼때는 기술력 배우기에는 관제가 가장좋아요. 모의해킹은 인내심이 필요하고.

한 가지 질문을 던져볼게요. 이 PC가 갑자기 이상해요. 그럼 어떻게 하죠?

[학생] LAN선을 빼요.

[이호선 선생님] 그것도 좋지만 다른 방법이 있죠 백신을 쓰는겁니다. 그런데 백신은 80%까지 검사할 수 있어요. 다른 방법이 있을까요?

[학생] 보안 로그를 보는거에요.

[이호선 선생님] 좋지만 로그를 기본적으로 많이 기록하지 않죠. 프로세스를 확인하고 어떤 네트워크를 보고 포트를 확인하고 내부도 살펴보고 여러 문서를 보며 따라해보는 것도 좋죠. 혼자는 하기가 힘들죠. 의견들이 조합되어야 더 많은 방향을 바라볼 수 가 있어요. 잘 아는 사람 한명이 있으면 좋아요. 빠르게 진행될 수 있기 때문에(...)

나머지는 문서에 정리해두었습니다.

암호는 학과내 윈도우즈 서버 2008 Administrator의 암호와 동일합니다.

2014-09-24동아리 특강.zip

알집 암호는 Brute force 어택을 해봐도 쉽게 풀리지않습니다.

이메일이 담겨있기때문에 암호를 알지못하는 이상 내용을 보는건 힘듭니다.